Onde o RGPD e a IA se cruzam: dados pessoais em prompts, bases legais, avaliações de impacto e boas práticas para equipas.
O RGPD não foi escrito a pensar em IA generativa, mas aplica-se-lhe por inteiro — e a combinação dos dois cria armadilhas onde empresas bem-intencionadas caem todos os dias. Este guia percorre os pontos de fricção reais e as práticas que os resolvem, sem juridiquês.
Colar dados pessoais num prompt é tratamento de dados pessoais. Nome de um cliente num email a resumir, CV de um candidato a analisar, transcrição de reunião com nomes — tudo isto é tratamento sob o RGPD, com tudo o que isso implica: base legal, finalidade, minimização, e um contrato de processamento com quem recebe os dados (o fornecedor da IA).
Deste princípio decorre a pergunta-chave para qualquer uso de IA na empresa: para onde vão estes dados e ao abrigo de quê?
O caso mais comum e mais grave: colaboradores a usar contas gratuitas onde os dados podem ser usados para treino e não há contrato de processamento (DPA). Dados pessoais nestas condições = violação. Solução: contas empresariais (que incluem DPA e excluem treino) e regras claras — o essencial está no nosso guia de uso seguro de IA.
O RGPD exige usar apenas os dados necessários. Na prática de IA: anonimize antes de colar. "Cliente A reclamou do atraso" funciona tão bem como o nome verdadeiro — e elimina o problema pela raiz.
Usar IA para triar candidaturas, avaliar crédito ou segmentar pessoas com efeitos significativos ativa o artigo 22.º: direito a intervenção humana, transparência, e provavelmente uma avaliação de impacto (AIPD). Se a IA decide sobre pessoas, o nível de exigência sobe drasticamente — e o IA Act acrescenta a sua própria camada para estes casos.
Se usa IA em interações com titulares de dados (chatbots de apoio, emails gerados), a informação de privacidade deve refletir isso. Esconder o uso de IA é risco legal e reputacional.
Apagamento e acesso tornam-se complicados quando dados pessoais entraram em ferramentas de terceiros. Mais uma razão para a regra de ouro: o que não entra, não precisa de sair.
Pode — com conta empresarial e sem colar dados desnecessários. Descreva o contexto sem identificar a pessoa quando possível.
Não. Peça o DPA, verifique onde os dados são processados e se são usados para treino. "Compliant" no site de marketing não é um documento contratual.
Pare, avalie a gravidade (que dados, de quem, quando), e fale com o vosso DPO ou apoio jurídico sobre a necessidade de notificação. E use o episódio para justificar as contas empresariais.
Desenvolvida e gerida em Portugal.
Infraestrutura europeia com encriptação SSL.
Respeitamos as normas europeias de privacidade.
Stripe + métodos de pagamento locais e internacionais.